05.12.2011 15:24, Victor Wagner пишет: > Народ, а посоветуйте как попараноидальнее организовать unattended backup > по rsync over ssh (на самом деле, rsnapshot, конечно). > > Что бы такое написать в /root/.ssh/authorized_keys, чтобы минимизировать > последствия в случае утечки секретного ключа с той машины, которая > инициирует бэкап? > > Пока что мне пришло в голову только > > command="/usr/local/sbin/rsynconly" ssh-dsa .... > > где /usr/local/sbin/rsynconly имеет вид > > #!/bin/sh > PATH="" > export $PATH > case "$SSH_ORIGINAL_COMMAND" in > *;*) > echo "Go away, you yellow earthworm!" > exit 1; > ;; > rsync\ *) > /usr/bin/$SSH_ORIGINAL_COMMAND > ;; > *) > echo "Go away, you yellow earthworm!" > exit 1; > ;; > esac > > Но что-то мою паранойю это не удовлетворяет. Ну во-первых, input > sanitizing явно недостаточный. Во-вторых, хотелось бы предотвратить не > только запуск команд, отличных от rsync, но и закачку файлов туда > посредством rsync. > > Eсли бэкапирующая машина не за натом, то в скрипт можно вставить каллбэк, типа
ssh -l username -i filename `$SSH_CLIENT |cut -f 1 -d" "` date -- С уважением, Любимец Андрей Алексеевич -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
